Pues el problema es que tu compruebas el resultado de mysql_query, este SIEMPRE va a ser true a menos que tu SQL sea incorrecto, para arreglar tu login debes de contar las filas, usando mysql_num_rows para ver cuantas filas te devolvio tu SQL y en base a eso permitir / denegar el acceso.
Saludos